Europäischer Datenschutz: richtig oder falsch?
Keine Sorge, dieser Eintrag wird keine Diskussion über Sinn und Zweck der neuen europäischen Datenschutz-Grundverordnung (EU-DSGVO oder GDPR). Diese Frage ist längt geklärt, schließlich ist die Verordnung seit über einem Jahr geltendes Recht. Und in weniger als einem Jahr werden Verstöße dagegen von den Behörden verfolgt und geahndet.
Im Rahmen der GDPR müssen die Unternehmen aber die Frage, ob die gespeicherten persönlichen Datensätze richtig oder falsch sind, zuverlässig beantworten. Das ist keine triviale Aufgabe, auch wenn es auf den ersten Blick so erscheinen mag:
Denn Unternehmen und Dienstleister, die an Endkonsumenten verkaufen und zu diesem Zweck deren Daten verarbeiten, haben es in Zeiten des Online-Handels und elektronischer Zahlungsmethoden mit einer exponentiell wachsenden Menge an personenbezogenen Daten und Informationen zu tun.
Die Unternehmen müssen es wissen
Zum Beispiel muss ein falsches Geburtsdatum so schnell wie möglich korrigiert werden. Angesichts der schieren Menge an gespeicherten personenbezogenen Daten sowie der Vielzahl an verschiedenen Datentöpfen ist allein das Finden des Datensatzes eine Aufgabe, bei der viel Technik zum Einsatz kommt, auch wenn die Unternehmen in den vergangenen Jahren viel Zeit und Geld in firmenweite Suchmechanismen investiert und hier in der Regel einen beachtlichen Reifegrad erreicht haben.
Mindestens ebenso wichtig sind aber die dafür nötigen organisatorischen Voraussetzungen. Schließlich dürfen nur Befugte solche Abfragen durchführen und fehlerhafte Datensätze korrigieren. Wird diese Aufgabe in den Fachabteilungen erledigt, muss die IT die technischen Grundlagen schaffen und die Berechtigungen einrichten sowie überwachen.
Wirklich komplex wird das Ganze aber dadurch, dass die Richtigkeit in der neuen Verordnung nicht nur im Sinne von „wahr“ oder „falsch“, bezogen auf den einzelnen Datensatz, gilt. Vielmehr bedeutet Richtigkeit darüber hinaus „richtig“ in Relation zu dem oder den jeweiligen Verarbeitungszwecken.
Ändern sich diese oder entfallen, müssen die darauf bezogenen Datensätze, auch wenn sie für sich genommen sachlich richtig sind, geändert oder gelöscht werden. Konkret: Das Geburtsdatum eines Kunden stimmt zwar, wird aber nicht mehr gebraucht und muss deshalb aus den Datenbeständen entfernt werden.
GDPR: Richtig im Sinne der Verordnung
Je höher der Datenbestand und je vielfältiger die Verarbeitungszwecke, desto weniger sind die Unternehmen ohne Softwareunterstützung in der Lage, den nötigen Dokumentations-, Überwachungs- und Änderungsaufwand zu leisten, um die Anforderung an die Richtigkeit der Daten zu erfüllen. Statt einer bloßen Datenbank mit einfachen Abfragemöglichkeiten brauchen die Unternehmen Werkzeuge für Informationsmanagement.
Dazu zählen unter anderem die hier geforderten Lösungen für Daten-Discovery und -Analyse, für Prozess- und Berechtigungsmanagement sowie für Experience Management, um Kunden und Mitarbeitern den eigenverantwortlichen Umgang mit ihren Daten so einfach wie möglich zu gestalten:
Zum schnellen Finden der relevanten Daten und ihrer Bezüge zu anderen Datensätzen, Speicherorten und Verarbeitungszwecken, zum Definieren und Durchsetzen von Prozessen und Berechtigungen sowie zum Errichten von Self-Service-Portalen für Kunden und Mitarbeiter, um deren Mitwirkung zu erleichtern und zu fördern.
